本文目录:
- 1、centos安全策略-禁用和关闭常见端口
- 2、请问CentOS怎么把在防火墙把除了22、80、443端口外的1-9999端口禁用掉?
- 3、centos7 服务器基本的安全设置步骤
- 4、centos 5.x 如何关闭 21端口 因为 linux 我一般 都用sftp 的22端口
- 5、centos 系统级别 限制端口 ,如何设置? 不包括iptables
centos安全策略-禁用和关闭常见端口
所谓最少的服务和端口开放等于最大的安全,所以服务器关闭不使用的端口是非常必要的。
111端口的进程是systemd,实际用的是rpcbind。大部分服务是不依赖于rpcbind的,只有NFS需要用到这个服务,所以可以禁掉。
以下是禁掉该rpcbind服务的命令:
25端口是stmp邮件服务端口,如果自己没有使用该端口可以禁用掉
关闭邮件服务(禁用25端口)
631端口对应的程序是cups
对应systemd-resolved进程
请问CentOS怎么把在防火墙把除了22、80、443端口外的1-9999端口禁用掉?
在CentOS下配置iptables允许部分端口同行,其他全部阻止。
更改如下:
iptables -F /* 清除所有规则 */
iptables -A INPUT -p tcp --dport 22 -j ACCEPT /*允许包从22端口进入*/
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT /*允许从22端口进入的包返回*/
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /*允许本机访问本机*/
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT /*允许所有IP访问80端口*/
iptables -A OUTPUT -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables-save /etc/sysconfig/iptables /*保存配置*/
iptables -L /* 显示iptables列表 */
如果需要在服务器安装软件,或者下载文件则需要运行。
这样就可以让服务器访问外网了,不过使用网络结束,需要重新拒绝访问。
如果需要集群间的计算机互相访问则可以再拒绝所有之前添加如下规则。
centos7 服务器基本的安全设置步骤
关闭ping扫描,虽然没什么卵用
先切换到root
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭
0代表开启
用iptables
iptables -I INPUT -p icmp -j DROP
简单介绍下基本的 dedecms _aq/' target='_blank'安全设置
一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root
这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限
以下是具体做法(需要在root下)
添加普通用户
useradd xxx
设置密码
passwd xxx
这样就创建好了一个普通用户
禁止root登录
vi /etc/ssh/sshd_config
PermitRootLogin no
Systemctl restart sshd
这样就完成了第一步,之后root就无法登录服务器只能通过普通用户su切换
二、修改ssh的默认端口22,因为ssh的端口是22,我们如果修改了该端口,他们就需要花费一点时间来扫描,稍微增加了点难度
以下将端口改为51866可以根据需要自己更改,最好选择10000-65535内的端口
step1 修改/etc/ssh/sshd_config
vi /etc/ssh/sshd_config
#Port 22 //这行去掉#号
Port 51866 //下面添加这一行
为什么不先删除22,以防其他端口没配置成功,而又把22的删除了,无法再次进入服务器
step2 修改SELinux
安装semanage
$ yum provides semanage
$ yum -y install policycoreutils-python
使用以下命令查看当前SElinux 允许的ssh端口:
semanage port -l | grep ssh
添加51866端口到 SELinux
semanage port -a -t ssh_port_t -p tcp 51866
注:操作不成功,可以参考:
失败了话应该是selinux没有打开
然后确认一下是否添加进去
semanage port -l | grep ssh
如果成功会输出
ssh_port_t tcp 51866, 22
step3 重启ssh
systemctl restart sshd.service
查看下ssh是否监听51866端口
netstat -tuln
Step4 防火墙开放51866端口
firewall-cmd --permanent --zone=public --add-port=51866/tcp
firewall-cmd --reload
然后测试试试,能不能通过51866登录,若能登录进来,说明成功,接着删除22端口
vi /etc/ssh/sshd_config
删除22端口 wq
systemctl restart sshd.service
同时防火墙也关闭22端口
firewall-cmd --permanent --zone=public --remove-port=22/tcp
注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网,需要做端口映射)
三、使用一些类似DenyHosts预防SSH暴力破解的软件(不详细介绍)
其实就是一个python脚本,查看非法的登录,次数超过设置的次数自动将ip加入黑名单。
四、使用云锁(不详细介绍)
参考自
总的来说做好了前两步能够减少至少百分之五十的入侵,在做好第三步之后,基本可以杜绝百分之八十以上的入侵。当然最重要的还是自己要有安全意识,要多学习一些安全知识和linux的知识。
第三第四其中都有稍微提到一点,感兴趣可以看看
centos 5.x 如何关闭 21端口 因为 linux 我一般 都用sftp 的22端口
使用Linux的防火墙工具:iptables命令
用root账户登录,执行下面的命令:
第一步:在防火墙中写入关闭21端口的规则
# iptables -A INPUT -p tcp --dport 21 -j DROP
第二步:保存防火墙规则
# service iptables save
如果不执行第二步,那么第一步命令的效果在Linux重启后将会失效。
祝好运!
centos 系统级别 限制端口 ,如何设置? 不包括iptables
如果希望在服务器上提供服务,诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙,它们默认的防火墙规则十分严格。因此,如果你安装了任何定制的服务(比如web服务器、NFS和Samba),那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过。
在CentOS/RHEL 6或更早的版本上,iptables服务允许用户与netfilter内核模块交互来在用户空间中配置防火墙规则。然而,从CentOS/RHEL 7开始,一个叫做firewalld新用户空间接口被引入以取代iptables服务。
使用这个命令察看当前的防火墙规则:
$ sudo iptables -L
现在,让我们看看如何在CentOS/RHEL上修改防火墙来开启一个端口。
在CentOS/RHEL 7上开启端口
启动CentOS/RHEL 7后,防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。
【centos设置禁止被扫描端口】内容来源于网络,若引用不当、侵权,请联系我们修正或者删除!
![小小茶猫](https://vps.cmy.cn/zb_users/avatar/0.png)
评论已关闭